[English]Microsoft hat dem Defender eine Möglichkeit spendiert, beliebige Dateien herunterzuladen. Diese Download-Funktion verursacht bei Sicherheitsexperten aber eher Kopfschmerzen als Begeisterung.
Anzeige
Ich hatte den Hinweis auf die neue Funktion bereit die Tage bei den Kollegen von deskmodder.de im Beitrag Windows Defender (MpCmdRun.exe) als Download-Manager nutzen? Kein Problem gelesen. Mit dem Update des Defender auf die Version 4.18.2007.8-0 (Quelle Will Dormann) gibt es eine neue Funktion in der MpCmdRun.exe. Hacker mohammadaskar2 hat das Ganze durch Zufall gefunden und bezeichnet als Microsoft Malware Protection Command Line. Man kann den Befehl:
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2008.9-0\MpCmdRun.exe -DownloadFile -url <url> -path <local-path>
als Administrator verwenden, um eine beliebige Datei mit Windows Defender herunterzuladen. Microsoft hat Mitte August 2020 das Ganze in diesem Supportbeitrag beschrieben. Kollege Lawrence Abrams weist auf Bleeping Computer darauf hin, dass dies ein gefundenes Fressen für Malware-Autoren ist. Es ist ein erneuter Fall, bei dem legitime Betriebssystemdateien, die für böswillige Zwecke missbraucht werden können.
Das Ganze wird als Living-off-the-land-Binärdateien oder LOLBINs bezeichnet. Abrams schreibt, dass die Funktion mit dem Update auf Version 4.18.2007.9 oder 4.18.2009.9 eingeführt wurde. BleepingComputer konnte die resources.exe-Datei herunterladen, das WastedLocker Ransomware-Beispiel, das bei einem kürzlichen Garmin-Angriff verwendet wurde.
Anzeige
Bleibt nur zu hoffen, dass der Microsoft Defender alle bösartige Dateien erkennt, die mit MpCmdRun.exe heruntergeladen wurden. Das Problem, dass andere Virenschutzsoftware den Defender deaktiviert und so für diesen Angriff blind ist, dürfte langsam entschärft werden. Denn Microsoft will ja, dass der Defender in Windows nicht mehr abschaltbar ist (siehe Microsoft Defender unter Windows 10 nicht mehr abschaltbar). Der Fall zeigt wieder einmal, dass solche netten Features durchaus ihre Archillesferse haben können.
Ergänzung: Microsoft hat zu den Berichten, dass die Download-Funktion des Defender eine Schwachstelle sei, folgende Stellungnahme abgegeben (Quelle).
Despite these reports, Microsoft Defender antivirus and Microsoft Defender ATP will still protect customers from malware. These programs detect malicious files downloaded to the system through the antivirus file download feature.
Ist natürlich elegant ausgewichen, denn dies wurde niemals in Abrede gestellt.
Ergänzung: Das Feature wurde wieder ausgebaut, siehe Microsoft Defender Download-Feature wieder weg …
Anzeige
Hallo Günter,
in der angegebenen CMD-Line ist dir ein Fehler unterlaufen:
– in der Pfadangabe muss es "Platform" heissen, ein "t" zu viel.
– vor der "-url" Option, muss noch der Paramter "-DownloadFile" angegeben werden
Die richtige Eingabe würde lauten:
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2008.9-0\MpCmdRun.exe -DownloadFile -url -path
Im übrigen blockt mir der (aktuelle) MS Windows Defender unter Windows 10 selbst den aufruf von "MpCmdRun.exe":
Trojan:Win32/MpUtilAbuse.A
Warnstufe: Schwerwiegend
Status: Aktiv
Datum: 06.09.2020 8:25
Kategorie: Trojaner
Details: Dieses Programm ist gefährlich. Es führt Befehle eines Angreifers aus.
Vllt. kannst du die Infos noch im Beitrag korrigieren.
Einen schönen Sonntag.
Markus B.
Mit dem Microsoft Defender haben die Blindfische in Redmond endlich mal
wieder was Positives herausgebracht. Jetzt müssen Diese aber auf schnellstem
Wege Alles wieder selbst kaputtmachen. Es ist nicht zu glauben.
Das ganze ist ziemlich übertrieben – mal wieder. Und einige sind dem auf den Leim gegangen, nennt man wohl Vorurteil – fragt sich, warum dann ein win-System überhaupt in Nutzung ist, Alternativen bestehen ja:
Microsoft Defender: Vermeintliche Schwachstelle ist nur ein Sommerloch
https://winfuture.de/news,118072.html
Nett – die Leute von winfuture.de mögen sich doch mal kundig machen, welche Berechtigungen ein Browser und welche Berechtigungen MpCmdRun.exe haben. Im Übrigen weisen Sicherheitsexperten darauf hin, dass es EINE mögliche neue Schwachstelle ist. Von Sommerloch kann ich da wenig erkennen, so etwas gehört auf jeden Fall thematisiert.
Den winfuture.de-Artikel hätte ich jetzt eher auf Click-Baiting und Sommerloch geschoben – alleine von der Titelgestaltung her. Ist aber nur mein persönlicher Eindruck.
Ich verstehe es nicht… Da hat Windows für Updates einen eigenen Dienst, aber Sub-Funktionen bzw. Microsoft-eigene Anwendungen wie Defender, OneDrive und Teams müssen unbedingt ihren eigenen wget-Ersatz mit bringen. Ich frage mich, reden die einzelnen Abteilungen bei MS nicht mehr miteinander?
Microsoft Windows [Version 10.0.19041.450]
wird der Befehl von der (admin) Commando Zeile geblockt.
Also besteht nur die Gefahr für die, die den Defender durch ein Konkurrenzpodukt ersetzt haben?
Denn ich glaube nicht, das MS das Execute-Recht auf "C:\ProgramData\Microsoft\Windows Defender\" entfernt hat, obwohl sie diese Programme ja im Moment nicht mehr brauchen.
Achja, telnet hatte Windows auch einst…dem erging es genauso.
Bei mir wird der Befehl nicht geblockt. Oder hast du eine Enterprise-Lizenz und darin Applocker mit den Standardregeln aktiviert? Dann ist c:\programdata\* nicht mit drin.
Das ist ein Windows Home.
Ich hatte da mal für 3 Minuten den Ransomware schutz an.
Aber dann funktioniertes nichts mehr und die Fehlermeldungen waren nicht hilfreich (kein Pfad zum bösen Fremd-exe, zu dem -natürlich- auch powershell gehört…)
Es wird nicht das .exe gebockt!
"C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2008.9-0\MpCmdRun.exe" -SignatureUpdate
funktioniert selbstverständlich.
aber wehe das steht das Download drin.
Interessant wie fein MS da unterscheiden kann…
Ich habe es auch an Win 10 2004 Home ausprobiert.
Ja, das ist frisch auf 2004 Home geupgradet. Sozusagen mein "Opferrechner".
Also:
How-to-reproduce:
Du hast den aktuelsten Patch level
Du kannst MpCmdRun.exe mit der Option -dowmloadfile starten.
Deine Zeile sieht wie ober aus, also ohne konkrete (funktionierende) Pfade/URLs?
Wenn letzter Punkt, dann prüft MS die URLs…
Aber andereseits sollte es ja möglich gewesen sein, malware herunterzuladen.